[挖0day]羊驼CMS 注入及getwebshell

最近在研究代码审计,便去chinaz 找了个人气比较高的 cms,本文适合我等刚入门滴人士

文档下载地址:  http://115.com/file/e776qbw0#

Ue批量查了一下源码  整个系统都在注入  注入

额,单引号啊,还需要绕过,开gpc就惨了,然而,发现这个伟大的cms,竟然自动去除gpc …

前台开始注射

http://127.0.0.1/coder/alpaca/index.php/page/18/

对应的sql语句为

当我们提交

sql语句

这里是一个经典的联合查询   本来还在想怎么绕过gpc的  没想到自动去除鸟

直接提交

发现什么都木有

看源码  appvelempage.php  其实里面很多源码还是写的很巧妙的

需要一个$page[‘elem_info’]那我就在六号位写一个  仿照官方的  elem_info (十六进制)

得到 exp

成功爆出  管理员密码

把上面的  password 改为 username   爆出管理员账号 拿 shell

菜刀连接之

本来到这里就可以了   但却意外发现一个狗血的 东东  仅供娱乐    请看下文

******************************淫荡的分割线************************************

现在睁大您的钛合金狗眼,我们来看低版本的 2.x,  点击注册 www.91ri.org /user/reg/

Let  me  try

然后在登陆后台   www.xxx.com/admin

把级别调为20   注册就是管理员   阁下是否感到菊花一紧了…

******************************淫荡的分割线************************************

后记

这厮的作者php水平非常高,采用自主开发的b2core MVC  框架,里面代码 多处值得学习,但作者安全意识太差,里面都很多明显漏洞,后台可以直接写一句话拿shell,也是为俺这样的新手提供锻炼的机会。

编辑点评:开源CMS程序的安全配置一直是网站站长们研究的问题,但是选择一个正确安全的CMS更为重要!

责任编辑:梧桐雨

原文链接:http://www.yaseng.me/fuck-alpaca.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。